Sdílet prostřednictvím


Porovnání služby Active Directory s ID Microsoft Entra

Microsoft Entra ID je dalším vývojem řešení pro správu identit a přístupu pro cloud. Společnost Microsoft zavedla Active Directory Domain Services ve Windows 2000, která organizacím umožňuje spravovat více komponent a systémů místní infrastruktury pomocí jedné identity na uživatele.

Microsoft Entra ID posouvá tento přístup na vyšší úroveň tím, že organizacím poskytuje řešení Identity as a Service (IDaaS) pro všechny jejich aplikace v cloudu i v místním prostředí.

Většina správců IT zná koncepty Active Directory Domain Services. Následující tabulka popisuje rozdíly a podobnosti mezi koncepty služby Active Directory a ID Microsoft Entra.

Koncepce Active Directory (AD) Microsoft Entra ID
Uživatelé
Zřizování: uživatelé Organizace vytvářejí interní uživatele ručně nebo k integraci se systémem lidských zdrojů používají interní nebo automatizovaný zřizovací systém, jako je Microsoft Identity Manager. Stávající organizace AD používají Microsoft Entra Connect k synchronizaci identit do cloudu.
Microsoft Entra ID přidává podporu pro automatické vytváření uživatelů z cloudových hrových systémů.
Microsoft Entra ID může v aplikacích SaaS s podporou SCIM zřizovat identity, aby aplikace automaticky poskytovaly potřebné podrobnosti pro povolení přístupu uživatelům.
Zřizování: externí identity Organizace vytvářejí externí uživatele ručně jako běžní uživatelé ve vyhrazené externí doménové struktuře AD, což vede ke správě nákladů na správu životního cyklu externích identit (uživatelů typu host). Microsoft Entra ID poskytuje speciální třídu identity pro podporu externích identit. Microsoft Entra B2B bude spravovat odkaz na identitu externího uživatele, aby se ujistil, že jsou platné.
Správa nároků a skupiny Správci z uživatelů dělají členy skupin. Vlastníci aplikací a prostředků pak skupinám udělují přístup k aplikacím nebo prostředkům. Skupiny jsou k dispozici také v id Microsoft Entra a správci můžou také pomocí skupin udělovat oprávnění k prostředkům. V Microsoft Entra ID můžou správci přiřadit členství do skupin ručně nebo pomocí dotazu dynamicky zahrnout uživatele do skupiny.
Správci můžou pomocí správy nároků v id Microsoft Entra uživatelům udělit přístup ke kolekci aplikací a prostředků pomocí pracovních postupů a v případě potřeby i kritérií založených na čase.
správa Správa Organizace budou používat kombinaci domén, organizačních jednotek a skupin ve službě AD k delegování práv správce ke správě adresáře a prostředků, které řídí. Microsoft Entra ID poskytuje předdefinované role se svým Microsoft Entra systémem řízení přístupu na základě role (Microsoft Entra RBAC) s omezenou podporou vytváření vlastních rolí pro delegování privilegovaného přístupu na systém identit, aplikace a prostředky, které řídí.
Správu rolí je možné vylepšit pomocí Privileged Identity Management (PIM) a poskytovat přístup k privilegovaným rolím za běhu, časově omezený nebo na základě pracovního postupu.
Správa přihlašovacích údajů Přihlašovací údaje ve službě Active Directory jsou založené na heslech, ověřování certifikátů a ověřování pomocí čipových karet. Hesla se spravují pomocí zásad hesel, které jsou založené na délce, vypršení platnosti a složitosti hesla. Microsoft Entra ID používá inteligentní ochranu heslem pro cloud a místní prostředí. Ochrana zahrnuje inteligentní uzamčení a blokování běžných a vlastních heslových frází a náhrad.
Microsoft Entra ID výrazně zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a technologií bez hesel, jako je FIDO2.
Microsoft Entra ID snižuje náklady na podporu tím, že uživatelům poskytuje samoobslužný systém pro resetování hesla.
Aplikace
Aplikace infrastruktury Služba Active Directory tvoří základ pro řadu místních komponent infrastruktury, například DNS, DHCP, IPSec, WiFi, NPS a přístup vpn. V novém cloudovém světě je Microsoft Entra ID novou řídicí rovinou pro přístup k aplikacím a spoléhání se na síťové ovládací prvky. Při ověřování uživatelů řídí podmíněný přístup , kteří uživatelé mají přístup ke kterým aplikacím za požadovaných podmínek.
Tradiční a starší aplikace Většina místních aplikací používá k řízení přístupu k uživatelům ověřování pomocí protokolu LDAP, ověřování Windows-Integrated (NTLM a Kerberos) nebo ověřování na základě hlaviček. Microsoft Entra ID může poskytnout přístup k těmto typům místních aplikací pomocí Microsoft Entra agentů proxy aplikací spuštěných v místním prostředí. Pomocí této metody Microsoft Entra ID můžete ověřovat uživatele služby Active Directory v místním prostředí pomocí protokolu Kerberos, zatímco migrujete nebo potřebujete současně existovat se staršími aplikacemi.
Aplikace SaaS Služba Active Directory nativně nepodporuje aplikace SaaS a vyžaduje federační systém, například AD FS. Aplikace SaaS podporující ověřování OAuth2, SAML a WS-* je možné integrovat tak, aby k ověřování používaly id Microsoft Entra.
Obchodní aplikace s moderním ověřováním Organizace můžou používat službu AD FS se službou Active Directory k podpoře obchodních aplikací vyžadujících moderní ověřování. Obchodní aplikace vyžadující moderní ověřování je možné nakonfigurovat tak, aby k ověřování používaly ID Microsoft Entra.
Služby střední vrstvy a démona Služby spuštěné v místních prostředích obvykle používají ke spuštění účty služby AD nebo skupiny účtů spravované služby (gMSA). Tyto aplikace pak zdědí oprávnění účtu služby. Microsoft Entra ID poskytuje spravované identity pro spouštění dalších úloh v cloudu. Životní cyklus těchto identit se spravuje pomocí id Microsoft Entra a je svázaný s poskytovatelem prostředků a nedá se použít k jiným účelům k získání přístupu zadními vrátky.
Zařízení
Mobilní Služba Active Directory nativně nepodporuje mobilní zařízení bez řešení třetích stran. Řešení pro správu mobilních zařízení od Microsoftu, Microsoft Intune, je integrované s id Microsoft Entra. Microsoft Intune poskytuje systému identit informace o stavu zařízení k vyhodnocení během ověřování.
Plochy s Windows Služba Active Directory umožňuje připojit zařízení s Windows k doméně a spravovat je pomocí Zásady skupiny, Configuration Manager System Center nebo jiných řešení třetích stran. Zařízení s Windows je možné připojit k Microsoft Entra ID. Podmíněný přístup může zkontrolovat, jestli je zařízení Microsoft Entra připojeno v rámci procesu ověřování. Zařízení s Windows je také možné spravovat pomocí Microsoft Intune. V takovém případě podmíněný přístup před povolením přístupu k aplikacím zváží, jestli zařízení vyhovuje předpisům (například aktuální opravy zabezpečení a antivirové podpisy).
Windows servery Služba Active Directory poskytuje silné možnosti správy pro místní servery s Windows pomocí Zásady skupiny nebo jiných řešení pro správu. Virtuální počítače se servery s Windows v Azure je možné spravovat pomocí služby Microsoft Entra Domain Services. Spravované identity je možné použít, když virtuální počítače potřebují přístup k adresáři nebo prostředkům systému identit.
Úlohy pro Linux/Unix Služba Active Directory nativně nepodporuje jiné systémy než Windows bez řešení třetích stran, i když počítače s Linuxem je možné nakonfigurovat tak, aby se ověřovaly ve službě Active Directory jako sféra protokolu Kerberos. Virtuální počítače s Linuxem nebo Unixem můžou používat spravované identity pro přístup k systému identit nebo prostředkům. Některé organizace migrují tyto úlohy do cloudových kontejnerových technologií, které můžou také používat spravované identity.

Další kroky